OpenZeppelin divulga 'vulnerabilidade de alta gravidade' na carteira DeFi Argent

Uma “vulnerabilidade de alta gravidade” foi encontrada e corrigida na carteira Ethereum Argent, de acordo com os principais hackers white-hat OpenZeppelin.

DivulgadoSexta-feiraA pesquisadora de segurança do OpenZeppelin, ALICE Henshaw, descobriu uma vulnerabilidade no Argent que permitiria que fundos de usuários fossem drenados de carteiras que não tinham o recurso “guardião” do Argent.

De acordo com um OpenZepplinpostagem de blog e comunicado à imprensa, a notícia da Confira foi compartilhada pela primeira vez com a Argent em 12 de junho:

“A pesquisa da OpenZeppelin revelou um erro na versão mais recente dos contratos inteligentes da Argent que permitiria a qualquer um acionar o processo de recuperação da carteira sem uma assinatura – em qualquer carteira com zero guardiões – assim que a carteira fosse atualizada.”

Se atacados, os usuários tinham apenas 36 horas para evitar a drenagem dos fundos da carteira. Mesmo assim, os usuários poderiam ter seus fundos congelados por meio de um ataque de Negação de Serviço (DoS), escreveu o OpenZeppelin.

De acordo com Henshaw, a vulnerabilidade surgiu de uma atualização de carteira em 30 de março. A OpenZeppelin disse que 329 carteiras com 162 ether (ETH) e tokens de Finanças descentralizadas (DeFi) não divulgados estavam em risco. Outras 5.513 carteiras também estavam vulneráveis, uma vez que foram atualizadas para o novo software Argent, afirma o blog.

Nenhum fundo Argent foi afetado e um patch foi emitido, de acordo com a empresa. Henshaw recebeu $25.000 em DAI como compensação.

“Apenas 61 carteiras sem Guardians e com a atualização afetada estavam em risco”, disse o porta-voz da Argent, Matthew Wright, à CoinDesk. “Nosso modelo de segurança significava que eles tinham 36 horas para bloqueá-lo simplesmente tocando em 'Cancelar' no aplicativo. 0 fundos foram perdidos. Achamos que isso destaca os benefícios de ter um modelo de segurança de código aberto e estamos felizes em conceder à OpenZeppelin uma recompensa por seu trabalho.”

Argent reconheceu a vulnerabilidade em um tweet na manhã de sexta-feira, agradecendo ao OpenZeppelin por seu trabalho:

Em março,Argent arrecadou US$ 12 milhões em uma Série A liderada pela Paradigm Ventures. A carteira integra-se nativamente com produtos DeFi populares, como Maker e Compound.

“A vulnerabilidade descoberta por nossos pesquisadores de segurança pode ter levado muitos usuários a perderem o controle de seus fundos ao atualizarem para a versão mais recente da carteira Argent”, disse o CEO da OpenZeppelin, Demian Brener, em uma declaração. “A equipe da Argent tomou medidas QUICK para corrigir esse problema para que nenhum fundo de usuário fosse impactado.”